В этой статье расскажу как совсем недавно столкнулся с очень неприятной штукой, такой, как мобильный редирект.Если выражаться более понятным языком, это перенаправление на другой сайт.
И эта неприятная штука произошла с моим сайтом comp-doma.ru, на котором Вы сейчас читаете эту статью.
В один прекрасный день, будучи не за компьютером, я решаю с помощью своего смартфона на Андроид, просмотреть свой сайт.
Открываю на Мобиле браузер Maxthon, кликаю по закладке comp-doma.ru Начинается загрузка, и где-то на половине загрузки, гляжу что в адресной строке меняется мой адрес сайта https://comp-doma.ru на (.sexshop-emmanuel.com.ua.), и открывается сайт порно – эротического содержания, который ещё и с подвохом. Достаточно дотронутся хотя бы до одной ссылки, автоматически попадаешь на 20 рублей в день. Внимательный человек эту надпись заметит.
Покрывшись холодным потом от происходящего ужаса, первое о чём я подумал, что это вирус, который скорее всего занёс при недавней перепрошивке телефона кастомной прошивкой.
Кастомная прошивка — это видоизмененные, модифицированные прошивки как одним пользователем, так и группой пользователей (CyanogenMod и Miui), то есть прошивка созданная не официальным производителем.
Ну что же делать…. Приезжаю домой, открываю свой сайт на компьютере. Всё нормально!
Скачиваю родную прошивку телефона, прошиваю. Захожу на свой сайт через вновь прошитый телефон. И опять эта же проблема!!! Опять переправляет на этот же зловещий сайт.
Я нервно начал думать, в чём может быть причина???
Прошивку из виновников исключили. Не могут же две разные прошивки быть заражены одной заразой.
Следующее, на что начинаю грешить — на как-то случайно установленную подписку на развлечения у сотового оператора. Мало ли, иногда дочки в телефон играют, рекламы сегодня полным полно и в игрушках. Случайно ни туда нажали, и вот тебе результат.
Зашёл к сотовым операторам на сайты (у меня 2 симки) просмотрел свои услуги и подписки, всё чисто, подписок нет!
Размышляя иду по «цепочке» дальше. Сотовых операторов исключили. Ещё раз проверяю свой сайт на компьютере, никакой переадресации сайта нет.
Второй час ночи. Утром в 6 вставать на работу.
Решаю пока успокоиться, и хорошенько подумать о возможных причинах происходящего и способах решения.
Следующим днём на работе, я весь день думал как убрать перенаправление на другой сайт, и где искать виновника редиректа. Раз сам мобильник и сотовых операторов я уже исключил из причин.
Пока находился на работе, у двух товарищей по работе взял сотовые, для проверки сайта. И что бы Вы думали??? Тоже самое! Идёт переадресация на другой сайт!
Тут уже сомнений не осталось! На мой сайт каким-то образом попал вредоносный код.
В этот момент у меня волосы «подымаются дыбом» когда я понимаю, что все мои посетители которые заходят на мой сайт с мобильного телефона или планшета, перенаправляются на порно сайты!!!!
«Пулей лечу» с работы домой! Падаю за комп, и как можно быстрее пытаюсь найти в интернете информацию, и решение этой проблемы.
Похожей ситуации найти не удаётся…На просторах интернета рекомендуют разные сервисы по проверки сайта на вредоносный код. Пробую все найденные сервисы. А так же всевозможные плагины для wordpress, по поиску вредоносного кода и ссылок. Яндил, и Гуглил до позднего вечера.
Результата ноль! Ни один сервис, ни один плагин не находят ничего подозрительного.
Скачал через FTP весь свой сайт себе на компьютер, и стал рыться в коде файлов с надеждой заметить что ни будь подозрительное.
Я знаю, что редирект (переадресация, перенаправление) можно сделать несколькими способами. Самые популярные и распространённые это: с помощью файла конфигурации .htaccess, при помощи javascript, и под средством PHP кода, а так же в файлах JS.
Есть ещё разные способы, но эти самые распространённые.
Сначала, при помощи текстового редактора Notepad++, в файлах сайта стал пытаться найти URL сайта на который перебрасывает. Поиски ни к чему не привели.
Стал думать дальше…. Где же мог прописаться этот вредоносный код… Начал анализировать структуру сайта.
Думаю: Вредоносный код мог прописаться в четырёх местах это:
1. В базе данных сайта
2. В ядре wordpress, в конфигурационных файлах отвечающих за работу сайта
3. В файлах темы wordpress
4. Заражён сам сервер у хостера. Такое тоже случается, я пока занимался поисками похожего случая в интернете, прочитал несколько старей, где причиной редиректа на сайте был заражённый сервер хостера.
С кого из четырёх подозреваемых начать?
Продолжаю размышлять: С базы данных…., структура очень сложная, отнимет не мало времени.
Заразу у хостера, отложил на самый последний случай. После того когда будут проверены все варианты и уверенность что мой сайт 100% не заражен.
Остались ядро wordpress и тема.
В файлах движка wordpress придётся рыться долго и упорно.
Для начала решаю попробовать поменять тему. Секундная процедура, и один виновник будет откинут из подозрения, или хорошо если зараза окажется в теме. Тогда круг будет максимально сужен, и будем выворачивать «на изнанку» саму тему.
Меняю тему. Хватаю сотовый, захожу на сайт. Сайт кривой весь в ненастроенной теме Но перенаправления не происходит!!! Вот виновник! Вредоносный код прописался в моей теме.
Уже на позитиве, что виновник у меня в руках Открываю файлы заражённой темы.
Как мы уже выше говорили, вредоносный код может прописаться в файлах: htaccess, PHP, и JS.
Смотрим файлы темы. Файла htaccess в теме нет. Файлов JS немного, лежат в папке темы » в папке JS. Файлов PHP в теме достаточно много!
Решаю поступить следующим образом.
Скачиваю свою рабочею тему с сайта разработчика. Через FTP клиент открываю заражённую тему на хостинге. И начинаю из чистенькой, скаченной темы заменять файлы заражённой темы на хостинге. Но не все сразу!
Кликни для увеличения изображения
Если открыть папку с темой, мы увидим отдельные файлы, и целые папки.
Для начала не трогая папки, выделяю все файлы и копирую с заменой в заражённую тему на сервере как показано на скршоте. Захожу на сайт с сотового, проверяю. Перенаправление не прекратилось.
Значит фалы которые я скопировал с заменой из чистой темы не содержат вредоносный код. А файл с вредоносным кодом теперь спрятан в папках темы.
Начинаю копировать с заменой по одной папке на хостинг.
Так как знаю, что редирект может быть прописан в JS файлах, первым делом перекидываю папку с именем JS.
Опять проверяю сайт с сотового.
И вот, сайт нормально загружается, без перенаправления!!! Круг поисков сузился до одной папки!!!
С заранее скопированной на компьютер заражённой темы, забираю папку JS, и копирую её обратно на хостинг. На всякий случай проверяю с телефона сайт. Опять началось перенаправление.
Сомнений не осталось! Вредоносный код точно сидит в этой папке!
Открываю папку JS чистой темы . В ней два файла и папка. В заражённой папке JS такое же количество файлов и папка.
Так как в корне папки всего два файла, решаю начать именно с них.
Начал с нижнего файла с названием nivo-slider.js. Скопировал с заменой на хостинг. Проверяю. Перенаправление никуда ни делось.
Значит зараза осталась на месте!
Копирую с заменой на хостинг файл с названием frontend.js. Проверяю. И вот перенаправление пропало!!!! Ликую!!!!
Файл с заразой найден!!!! Теперь дело техники!
Открываю в текстовом редакторе Notepad++ заражённый файл, и чистый файл. Сопоставляю, и смотрю отличия в коде.
И вот он зараза!!!! Притаился в самом низу!
Так как файл со скачанной темы и с заражённой идентичны за исключение вредоносного кода конечно в заранее сохранённую, настроенную тему, которая была заражена, я копирую файл frontend.js из чистой темы на всякий случай .
Заливаю тему обратно на хостинг.
Контрольная проверка с телефона! Даже для достоверности пару проверок подряд И ещё одна с телефона жены .
Всё чисто!!!! Сайт загружается и работает исправно! Зло побеждено! Но нервов попортило не мало!
Сразу после решения этой проблемы с редиректом. Принялся за написание этой статьи.
Надеюсь мой способ решения проблемы с редиректом, поможет людям попавшим в подобную ситуацию.
Желаю никому не хватать такую заразу! А кому уж не повезло, благополучно и быстро избавится от неё!
Кому помогла статья, отпишитесь в комментариях!
Поделитесь своим опытом по решению подобных проблем.
Ваши советы могут помочь многим пользователям попавшим в подобную ситуацию!
А не знаете, почему редирект срабатывал только с мобильного телефона?
Конечно знаю! Версии страниц сайта для обычных браузеров, и мобильных, немного разные, и работают по разным правилам. И нет ничего сложного, что бы например злой скрипт заточить для работы в мобильной версии для мобильных браузеров.
Здравствуйте Анна! Попробуйте на момент отключить все плагины, и проверьте. Напишите как получилось!
Админ. А редирект всё равно стоит на порносайт.
Достаточно зайти с точки опсоса. Например «мегафон»
Это все замечательно. Но я ничего не поняла, что делать( перенаправление идёт не только с одного конкретного сайта, а вообще с любого и всегда на разные. Что где искать? Что удалять? Можно проще как-то объяснить?
Спасибо
Здравствуйте Елена! Не волнуйтесь, разберёмся! Давайте с начала по подробней опишите вашу проблему. Вы на счёт своего сайта говорите?
Ваш оптимизм обнадеживает! Спасибо!
У меня перенаправление идёт вообщетс любого сайта, на который я захожу с телефона. Чаще всего перенаправляет на сайт g6xdroid.ru. при этом появляется уведомление о том, что нужно обновиться, что-то скачать и т.д. скриншот приложила. Все это происходит при подключению к вай-фай. Роутер перенастраивали, результата ноль. То же самое у мужа на телефоне происходит. Как думаете, что это такое? Телефон сбрасывали до заводских настроек, антивирусник не находит ничего.
Если компьютер к вайфаю вашему подключить ноутбук например, тоже самое? Пробуйте третий тел через Ваш вайфай запитать, подруги например, тоже самое случится. Это всё обязательно проделайте, и отпишитесь, жду! Решение уже близко!
На ноутбуке было такое же месяц назад. Снесла хром, поставила заново-проблема исчезла. Ну и плюс антивирусником прогнала все. Телефона третьего пока не удалось найти.
Найдите и проверьте обязательно, без полной проверки диагноз трудно поставить.
Итак, проверка дала такие результаты. Подключаемые ноутбук к вайфаю-перенвправления нет. Третий телефон так же выдаёт всякую фигню вместо нужного сайта. Т.е. такое ощущение, что только в телефонах такая беда(
Елена, на сайт который пытаетесь перейти, залез вредоносный код! И именно в мобильной версии, так было и у меня на этом сайте comp-doma.ru, такая же ситуация как описано в этой статье. Пока хозяин сайта это не исправит, так же и будет на всех мольных версиях этого сайта. Попробуйте на этот сайт зайти не с вайфая, а просто через мобильный интернет, увидите тоже самое!
Спасибо! Это вредит как-то телефону?
Здравствуйте!
У меня такая же проблема как и у Елены!
Выходит это проблема не в телефоне, а в сайте? И если сразу закрывать нежелательные сайты, то никакого вреда не будет?
И кстати, на этот сайт я тоже попал только со второго раза, т.к. в первый раз меня перенаправили на подписку за 20 р. в день))
Добрый день Левон! Дайте адрес вашего сайта, будем проверять. У меня с моего comp-doma.ru нет на сегодняшний день редиректа (перенапралвения) на сторонние сайты. Мне кажется, что у Вас в компе засел этот злодей, который Вас перенаправляет на сайты с платными услугами. Но в любом случаи нужно всё проверять! Давайте адрес вашего сайта.
Добрый день, Дмитрий, не могли бы дать свою аську или почту?
Написал Вам Олег на e-mail
На сегодняшний день, это зараза номер один для 1000 сайтов. Материнские вирусы прописываются в разных местах, при удалении презаписывают друг друга. И прописывают вредоносные коды в разных уголках сайта, как правило в файлах JS. К сожалению мой сайт опять подвергся этой атаке. В ручную нашёл и удалил вредоносные коды. А материнские вирусы найти в месте с хостерами не можем.
Дмитрий, помогите мне пожалуйста! Создал сайт, начал его продвигать, а тут вот такая ерунда происходит с моим сайтом. Когда домен вбиваешь в адресную строку и пытаешься зайти на сайт, то он перенаправляет на другие сайты. Пытался искать , но не получается, не знаю что надо искать) мой сайт kaak24.ru
Здравствуйте Константин. Да, действительно редирект у Вас на сайте есть. На каком движке у Вас сайт? Шаблон менять пробовали? Только методом исключения можно добраться до вредоносного кода.
WordPress. Тему в смысле да? Нет, тему не пробовал менять. Так если бы оно постоянно еще было, так можно было что-то пробовать методом исключения, а так бывает перенаправление раз в 2 дня. Я каким-то плагинов тему проверял, в теме проблем не нашлось.
Я тоже при этой проблеме, разными типа антивирусными плагинами проверял. Всё это хрень полнейшая! Ниодин не видит этот вредоносный код. Пробуй так: Меняй на время тему, и наблюдай, будет ли переадрисация. Потом пиши, будем плясать дальше!
Ты вот когда перешел на мой сайт тебя сразу перебросила? Хорошо, попробую поменять тему
Сначала загрузился твой сайт, и через пол секунды перекинуло на левую страничку
Давай спишимся в vk? Моя страница http://vk.com/slukitos
Забыл добавить, он не всегда перенаправляет, а очень редко
Добрый вечер! У меня та же самая проблема(( при открытии любой страницы, что с гугла, что с фэйсбука, идет редирект на порно сайт aviadeator.com, не знаю что и делать
Дмитрий, у меня точь в точь такая же проблема. Я нанимала специалиста, но он ничего не нашёл. Редирект так и остался, только с мобильного с МТС номеров. Помогите, не могу потерять сайт, он мой единственный источник дохода.
Здравствуйте Ольга. Очень Вас понимаю! Постараюсь Вам помочь. Можете связаться со мной вконтакте?
Дмитрий и Ольга, можно поинтересоваться, нашли код? И если нашли, то где он был?
У меня на одном сайте в шаблоне, на втором в плагине
А у меня есть подозрение, что это могли сделать сами хостеры. При чем они могут хорошо все развить, т.е. придумают или уже придумали код который будет перенаправлять только с определенных моделей телефонов или версии андроид. Они легко это могут сделать. Во время помощи, всегда просят доступы. Вывод: нужно учиться как администрировать виртуальный сервер без чужой помощи.
У меня тоже подозрение на хостеров есть, ставил разные записи логов, и фаеры, сторонних заходов на сайт не было, значит как то изнутри это делают. Хостерам пишу в службу поддержки, они говорят — проверили, ничего подозрительного не заметили. Не верю что специалисты, такой вирус заметить не могут. Вывод напрашивается сам собой: Не хотят!
У меня случай такой. Начал постепенно падать трафик. При чем страницы все в индексе и не упали в выдаче, даже поднялись. Кроме того добавлялись новые статьи…Это как минимум нелогично. Со смартфона (андроид 4,2) перенаправлений нет. Вот я и думаю, может они есть с других устройств, но проверить возможности нет. Может есть способ который выявляет любые перенаправляения с сайта, кроме как выискивать их в его логах?
Сергей, нужно проверять сайт с разных мобильных операторов, под разные версии андроида я думаю так заморачиваться не будут, это малоэффективно с точки зрения посещения ихнего вируса.
у меня тожы было код от мобилный ридирект я пользуюсь смс dle в шаблоне в main.tpl нашол вот такой код после удаление кода исчез мобилный ридирект.
после удаление мобилнова ридиректа я сменил права доступа к файлу main.tpl на 0444.
Здравствуйте vasili! Рад что у Вас тоже получилось избавится от этой заразы!
здравствуйте Дмитрий, попробовал ваш способ редирект остался, где он может еще сидеть ?
Здравствуйте Николай. Если методом исключения папок и файлов (как в моей статье) не получается избавится от редиректа, то возможно заражён Ваш хостинг. У меня редирект после лечения по прошествию какого то времени опять появился. Окончательно избавится от редиректа помог антивирус для WordPress: All In One WordPress Security and Firewall Plugin, он кстати по большей части на русском, так что разобраться в настройках ни составит труда. Грузите его только с магазина плагинов wordpress, ни с каких сторонних сайтов! Удачи!
Помогите мне пожалуйста….молю)
с этим редиректом…так и не поняла откуда качать…что и куда!
Здравствуйте Аня. Заходите к себе в админ панель wordpress, вкладка плагины, далее «Добавить новый» и набираете в строке поиска All In One WordPress Security and Firewall Plugin, устанавливаете. Псле этого у Вас в админпанели появится вкладка «WP Security» Интерфейс у плагина практически весь на русском, плагин сам Вам будет подсказывать и показывать уровень защиты и какие настройки включать. Редирект после настроек должен исчезнуть, плагин удалит вредоносный код и поставит Вам защиту.
Здравствуйте. А как настроить этот плагин? У меня появляется редирект только на ios и переводит на страницы платных подписок от мтс. Что делать?
Спасибо за статью! Перечитал кучу форумов, но не мог найти ответ. Помог Ваш совет с поочерёдной заменой файлов. У меня оказалась похожая ситуация, только вредоносный код сидел в файле header.php самой темы ПЛЮС создался левый файл с названием empty.gif с зашифрованной ссылкой (Base64)
У меня на сайте тоже какаято мистика при заходе с телефона перекидывает на порно шляпу aviadeator,com, причем мистика в том что это происходит с ресурсов посвященных сантехнике. Бред короче какой-то. 5 раз нормально заходит. 6 перекидывает на порно, блин хрень какая-то. Пригласил знакомого который разберается, будем ковырять сегодня движок, темы сайта.
Да забыл сказать про какой сайт идёт речь сантехникростова. рф
у меня кругом была подмена в каталогах форума и распихнуты дополнительные .htacсess файлы
Такая же проблема, что и описана в статье, практически один в один. Поставил рекомендуемый плагин, но не могу разобраться, что и как настраивать. Дмитрий, может подскажете?
Вместо поиска методом исключения не проще ли было скачать файлы с сервера и потом сравнить скачанные и оригинальные файлы какой-нибудь тулзой, которая отображает различия в файлах? Типа Kaleidoskope для MacOS. Не поверю что нет подобного инструмента для других операционных систем.
Даже обычный diff сэкономил бы вам кучу времени
diff —brief -r dir1/ dir2/